Qbot的新版本可以劫持电子邮件线程

Qbot Latest Version Hijacks Email Threads

在线威胁形势是一个非常特殊的地方。它总是在变化和变化,我们看到每天都有新名称出现而旧名称消失。鉴于所有这些,您可能希望出现十年以上的恶意软件家族现在不过是遥远的记忆而已。但是,正如Check Point研究人员昨天指出的那样,Qbot银行木马程序证明并非总是如此。

也称为QakBot,它于2008年首次出现,但是十二年后,它仍然表现强劲。最初,Qbot的功能围绕窃取银行密码和其他敏感数据而展开,但正如研究人员所指出的那样,多年来,它获得了各种各样的附加功能,因此有时被称为恶意软件的“瑞士军刀” 。不过,这并不意味着Qbot的作者将在这里停止。实际上,Check Point报告的目的是详细介绍该木马的最新更新。

您可以教老机器人新花样

在3月到6月之间,Qbot处于大型活动的中间,但随后停止传播,专家们认为,该恶意软件的运营商已对其进行了中断,以进行一些调整和调整。他们原本希望更新会花费更长的时间,但是在7月下旬,臭名昭著的Emotet木马发起了一次大规模的垃圾邮件运动,许多恶意消息都携带了新版本的Qbot。几天之内,Qbot的运营商发布了又一个版本,具有更多新功能。这是一项巨大的运动,而且由于有了新模块,黑客们希望确保接收电子邮件的大部分人最终都受到恶意软件的感染。

在大多数情况下,感染几乎是Qbot的标准操作。受害人会收到一封电子邮件,其中包含指向受感染的WordPress网站上托管的ZIP存档的链接。用户可以在ZIP内找到一个文件,如果打开该文件,则会触发感染。直到四月,Qbot的运营商都将宏打包的Word文档放入恶意ZIP中,但此后他们已切换到Visual Basic脚本(VBS)。 VBS与其中一个分发站点联系并下载初始有效负载,从而为实际的特洛伊木马设置了场景。初始有效负载会执行几项检查,以确保它不在沙盒环境中运行,并对注册表进行一些更改以实现持久性。最后,当确定可以安全继续进行时,它将部署主要的Qbot有效负载。

最近的更新并没有真正带来任何重大变化。 Qbot仍然可以窃取密码,信用卡详细信息和其他敏感信息。它可以登录受害者的银行帐户并代表他们进行交易,并且如果得到指示,它还可以安装其他恶意软件。

专家说,他们看到了其他一些有助于网络横向移动的模块,但是他们决定不对其进行详细说明,因为他们看到了一个更值得注意的新功能。

Qbot可以劫持您的电子邮件对话

新模块旨在从受害者的Outlook电子邮件客户端窃取整个线程。这已经是一个坏消息了,因为尽管专家们一直警告过通过电子邮件共享敏感信息的危险,但是人们继续在其消息中填充数据,如果这些数据落入错误的人手中,可能会造成极大的破坏。

黑客之所以不会窃取人们的电子邮件线程,是因为他们想要其中的信息。他们这样做是为了他们可以代表已经感染Qbot的受害者答复,并欺骗对话中的其他参与者也安装了恶意软件。 Check Point的专家说,他们已经看到骗子劫持了电子邮件线程,并在邮件中发送恶意链接,涉及从COVID-19大流行到纳税提醒的一切事情。

这是黑客最聪明的举动之一。人们现在对散发恶意软件的电子邮件已经足够警惕,并且他们对在收件箱中找到的邮件更加谨慎。但是,如果链接来自他们认识的人并已经与之通信,则目标更有可能单击它们。

Qbot的最新更新不会改变该恶意软件的主要功能,但是尽管如此,它表明其操作人员还没有放弃。尽管它已经有十多年的历史了,但是它比以往任何时候都更加强大。

August 28, 2020

发表评论